DNSSec (Comcast) vs DNSCurve (OpenDNS)

DNSSEC e DNSCurve affrontano aspetti completamente diversi della sicurezza DNS.

Prima di tutto, DNSSEC NON firma le tue domande. Piuttosto, DNSSEC consente a una zona (come un dominio) di essere firmata dal suo proprietario e consente a un resolver (ad esempio, i server DNS di Comcast) di verificare la firma, e quindi assicurarsi che i dati della zona che ottiene siano autentici. Protegge il resolver dalla ricezione di dati errati, ma non fa nulla per prevenire MITM o ficcanaso tra te e il resolver.

DNSCurve d'altra parte crittografa le comunicazioni tra resolver ricorsivi e server autorevoli e consente ai server autorevoli di firmare i propri dati contro la contraffazione, ma non fa nulla per proteggere un client dell'utente finale da un risolutore ricorsivo non valido. La soluzione DNSCrypt di OpenDNS si basa sulla stessa tecnologia di DNSCurve, ma protegge l'ultimo miglio tra un risolutore ricorsivo di terze parti affidabile come OpenDNS e il client finale.

Per quanto è più sicuro, nessuno dei due è. Sono entrambi sicuri, tuttavia la sicurezza viene applicata in diverse aree. In entrambi i casi, scegli quale aspetto della sicurezza DNS è più importante, piuttosto che quale strumento di sicurezza è più strong.

Per quanto riguarda ciò che dovresti fare, questo è qualcosa che solo tu puoi decidere, ma ti preghiamo di considerare quanto segue:

1: potresti usare i risolutori DNSSEC di comcast e sperare che nessuno colleghi a snoop e MITM la connessione tra le tue macchine e i resolver di comcast.

2: potresti usare i resolver di OpenDNS e connetterti a loro usando DNSCurve, e sperare che nessuno fornisca dati cattivi a quei resolver, dato che non usano DNSSEC. (Per essere onesti, OpenDNS ha un ottimo track record di prevenzione di tali attacchi.)

3: è possibile eseguire il proprio resolver, utilizzando software open source liberamente disponibile come BIND, PowerDNS o Unbound - abilitare DNSSEC su detto resolver e mantenere le query sulla rete locale - o meglio ancora, eseguire un resolver su ogni macchina. (Questa è l'opzione migliore IMHO, poiché affronta i punti deboli di entrambe le altre due opzioni)

DNSSEC e DNSCurve essenzialmente fanno la stessa cosa. Consentono a un client di verificare che i record di una risposta DNS siano identici a quelli inizialmente configurati dal proprietario della zona. Non sono a prova di proiettile; le zone madri, i registrar e i registri possono ancora fare ciò che vogliono con zone per le quali sono direttamente o indirettamente autorevoli. Ma è ancora meglio di niente.

Perché funzioni, le zone devono ovviamente essere firmate.

Le zone firmate con DNSCurve sono praticamente inesistenti. Il fatto che aggiunga crittografia è, in pratica, completamente inutile; dato il numero di zone firmate, la dimensione del pacchetto è sufficiente per indovinare qual è la query.

DNSSEC sta ottenendo una certa trazione, ma la sua implementazione rimane piuttosto lenta. Tuttavia, rimane molto più implementato di DNSCurve e gli strumenti più diffusi come i server openssh e mail possono trarne vantaggio.

Lo scenario più sicuro è quando la verifica viene eseguita dal client stesso. O almeno, se ti fidi della tua rete locale, sul router. Ora che dnsmasq supporta la convalida DNSSEC, anche i firmware dei router iniziano a supportarlo.

Ora, usando un resolver di terze parti e non facendo alcuna convalida sulla tua rete, tu:

1) fidati ciecamente di ciò che ti ha inviato il resolver. 2) anche se il resolver ti invia una risposta corretta, il segmento di rete tra il resolver e il tuo client rimane vulnerabile allo spoofing del DNS.

Se sei un cliente Comcast, il resolver DNS è il più vicino possibile dal tuo router e la tua connessione dipende completamente da Comcast. Se utilizzi un altro risolutore di terze parti, è possibile utilizzare ogni hop tra il router e il risolutore per dirottare potenzialmente le risposte.

Quindi, l'opzione migliore rimane l'utilizzo di un resolver locale di convalida DNSSEC come Unbound.

I malware non interessano DNSSEC o DNSCurve. Una volta che il tuo computer è stato infettato, la maggior parte dei malware può iniettare direttamente tutto ciò che vogliono nel tuo browser e, se necessario, modificare le tue impostazioni DNS.

La privacy è un argomento completamente diverso, su cui si è appena iniziato a lavorare (vedi DNS considerazioni sulla privacy RFC).

Solo DNSSEC tentativi per fornire sicurezza, senza nemmeno alcun tentativo di fornire privacy.

DNSCurve offre sicurezza e privacy.

Al punto di un risolutore DNS ricorsivo (es. Comcast e OpenDNS nella tua domanda), la domanda si riduce a se almeno una di queste tecnologie è distribuita dai nameserver autorevoli dei nomi di dominio per i quali sono fatte le risoluzioni, e dall'intero percorso ricorsivo necessario per la risoluzione. Questo punto assicura che i server Comcast / OpenDNS stessi ottengano risoluzioni legittime da qualsiasi altra parte di Internet.

Tuttavia, prima che i loro server possano aggirare le risoluzioni a tuo nome, devi inviare loro la tua richiesta.

• Se non utilizzi personalmente alcun software esperto in DNSSEC o DNSCurve, tutte le scommesse sono disattivate.

• Con DNSCurve e il client DNSCrypt di OpenDNS, tutte le query vengono crittografate tramite DNSCurve e solo OpenDNS può vedere il contenuto effettivo e fornire una risposta valida.

• Con DNSSEC, potresti anche dover usare qualcosa come local_unbound in FreeBSD. Non sono del tutto sicuro di come funzioni ancora - è stato importato solo un paio di settimane fa, e la documentazione è in qualche modo carente, ma penso che supporti il traffico verso altri server ricorsivi come quello di Comcast (con forward-addr parola chiave ), dove si suppone anche che si verifichi la convalida DNSSEC.

In quanto tale, la tua domanda non è abbastanza specifica per conoscere il tuo obiettivo; tuttavia, sembrerebbe che tu stia usando OpenDNS per un motivo, e semplicemente cambiare il tuo server dei nomi in Comcast non offrirà alcun vantaggio in termini di sicurezza.

Tuttavia, se stai già usando OpenDNS , dovresti sicuramente considerare di adottare il loro client DNSCrypt.

Ho installato Dnssec Trigger che include Bind sul mio pc. C'è una chiave locale sul tuo computer. Mi piacerebbe trovare un servizio che includa entrambi i protocolli DNS poiché non sono esclusivi.

Dal loro sito Web.

Il trigger Dnssec consente all'host di fine (laptop o desktop computer) di utilizzare la protezione DNSSEC per il traffico DNS. DNS traduce i nomi dei computer in indirizzi IP utilizzati per contattarli.

Analizza i server capaci di DNSSEC e istruisce un validatore su localhost per usarlo. Se fallisce, l'utente può scegliere di non essere sicuro.

Questo significa che un browser può (spesso) ottenere risultati in grado di DNSSEC. Può fidarsi dei risultati di 127.0.0.1 con ADflag. Oppure può fare la convalida DNSSEC stessa. Questo può abilitare DANE (IETF wg).

Una delle ultime località di dnssec-trigger consiste nell'utilizzare la porta SSL 443 per DNSSEC. Se fallisce, è improbabile che DANE (https, anche la porta SSL 443) possa funzionare. Quindi, logicamente, è molto probabile che questo servizio fornisca DNSSEC quando DANE deve averlo.